こんにちは、マーケティンググループの向井です。
先日IPAより「情報セキュリティ10大脅威2019」(https://www.ipa.go.jp/security/vuln/10threats2019.html)が発表されました。
今年度新たに脅威としてランクインしたのが、「サプライチェーンの弱点を悪用した攻撃の高まり」~委託先にも適切なセキュリティ管理を要求~ という項目です。
言わんとしているのは、水平分業している際のリスクに関して警告しているといものです。近年では、例えばZARAを代表するような衣料業界において、SPAという形で垂直統合がされていますが、水平分業しているところが大多数でしょう。また製造業に限らず、取引先との分業は多くの会社が実施しているというのが実態でしょう。今回はサプライチェーンという事でフォーカスされていますが、分かり易いところで言えば、システム開発やクラウドサービスを利用するといった行為も、分業という面では当てはまり、かつ同様のリスクが考えられるでしょう。
自社に詳細なセキュリティポリシーというものがあったとしても、外部のサービスを利用する際に、利用許諾にサインをしてしまえば、そのサービス許諾が適用されてしまうこともあるでしょう。例えば、5年で削除すべきデータが、クラウドサービス上では永年保管となっていた、という話はよく聞く話です。
グループ会社では、そのグループ会社間で同様のポリシーを適用しており、またそのグループ会社と取引を行う場合は、そのポリシーの適用を取引会社にも求めるという形で、防衛している取り組みは、さすが、というところですが、多くの場合はこのようにはいかないでしょう。
ビジネスという戦場では、善意では物事は進みません。たとえ取引先に悪意がなくとも取引先の善意をついてくる悪意に乗っ取られた場合、自社を守り切る事ができるでしょうか。
このサプライチェーンに関連する、しないに関わらず取引先の管理を、当社では委託先管理と呼んでいます。金融業では「サイバーセキュリティ経営ガイドライン」や「個人情報保護法」、また金融庁の監督指針などにも言及されていることもあり、先行して進んでいる会社も多く、業務フローも確立されてきています。一方で、エクセル等で管理をしており、業務が煩雑になり工数が増してきているケースが増えているようです。また、一からこの委託先管理の業務フローを作るのはなかなか骨が折れますので、調達部門がこの任に当たっていますが、取引を開始する入り口付近に注力され、事後対応や継続取引の際には、委託内容へのチェックに手が回らないということも発生しています。
これらの課題を解決するために、当社では委託先管理ツール「Supplier Risk MT(SRMT)」を開発しました。委託先や取引先を一元的に管理し可視化、テンプレートとなりうる点検シートを用意し、その依頼と保管、分析が可能となっています。
読んでいただいた皆様、これを機にぜひご検討下さいませ。
よろしくお願いします!
【Supplier Risk MT】
https://www.grcs.co.jp/products/srmt
点検シート分析イメージ
委託階層のツリー表示
業務委託リスクの散布図表示
